SEGURIDAD INFORMÁTICA › ~ldm › mypage › data › si › apuntes › 2019...1 SEGURIDAD INFORMÁTICA UNTDF –IDEI | Profesor Lic. Leonardo de -Matteis| 2019/1c Sistemas operativos

1

SEGURIDAD INFORMÁTICA

UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c

Sistemas operativos

IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur

Seguridad InformáticaSistemas operativos

Temario

Funciones básicas de seguridad proporcionadas por los sistemas

operativos.

Recursos del sistema que requieren protección del sistema

operativo.

Principios de diseño del sistema operativo.

Cómo los sistemas operativos controlan el acceso a los

recursos.

Brive historia de computación confiable.

Características de los rootkits del sistema operativo.



Funciones del sistema operativo

Operating

System

Memory

I/O Devices

Users

User Interface

Resource Allocation

CPU

Data

ProgramLibraries

Synchronization,

Concurrency

Control, Deadlock

Management,

Communication,

Accounting

Services



Características relacionadas con la seguridad

Características para compartir objetivos en forma segura.

Comunicación y sincronización entre procesos.

Protección de datos críticos.

Garantía de servicio justo.

Interfaz con el hardware.

Autenticación de usuario.

Protección de la memoria.

Control de acceso a dispositivos de E/S y archivos.

Asignación y control de acceso a objetos generales.



Evolución del sistema operativo

Sistemas de un solo usuario (sin sistema operativo).

Sistema operativo multiprogramado:

Múltiples usuarios

Múltiples programas

Programación, uso compartido, uso concurrente.

Computadoras personales



Evolución del sistema operativo

Multiprogramación

Múltiples procesos se ejecutanconcurrentemente al mismotiempo sobre un único procesador.

Se basa en el concepto de cambiode contexto.

Múltiples procesos residen enmemoria simultáneamente para mejorar la utilización del CPU, para que el CPU no esté ocioso porlargos períodos de tiempo.

Se utiliza una sola CPU para la ejecución de los procesos.

Demanda más tiempo la ejecuciónde cada proceso.

Multitarea

• Más de una tarea es ejecutada enun momento dado utilizandomúltiples procesadores.

• Se basa en el concepto de tiempocompartido.

• Permite la ejecución de multiples tareas y procesos al mismo tiempopara incrementar el uso de CPU.

• Utiliza múltples CPUs para la asignación de tareas.

• Demanda menos tiempo para la ejecución de tareas o procesos.

2



Objetos protegidos

Objetos que necesitan protección del sistema operativo:

Memoria

Dispositivos de E/S que se pueden compartir, ejemplo: discos.

Dispositivos de E/S reutilizables en serie, ejemplo: impresoras.

Programas compartibles y subprocedimientos.

Redes.

Datos compartibles.



Objetos protegidos

Gran parte de los mecanismos de protección del sistema operativo

son provistos por el hardware.

Un sistema operativo debe protegerse así mismo para poder

proteger a sus usuarios y recursos.

Protecciones ante:

programas maliciosos de usuarios,

posibles daños causados ante la incorporación de módulos,

controladores o complementos.



Sistema operativo: diseño por capas

Hardware

Security Functions

Synchronization, Allocation

Scheduling, Sharing,

Memory Management

File Systems, Device Allocation

Utility Functions

Compilers, Data base Managers

User Processes

Subprocesses of User Processes

SecurityKernel

OperatingSystemKernel

OperatingSystem



Funciones del SO abarcando diferentes capas

User Authentication Module

UserInterface

User IDLookup

AuthenticationData Comparison

AuthenticationData Updates

Most

Trusted

Code

Least

Trusted

Code

El proceso de autenticación abarca diferentes capas.



Sistema operativo: diseño modular

Los sistemas operativos modernos están construidos en base módulos.

Users Users Users Users Users

User Mode

User Interface

System Services Interface

Privileged Mode

File A/V Net Backup ShellObjectSec

I/O Synch Memory Comm SecTime

Primitive Services

Hardware Interface and Abstraction

Microkernel Kernel Mode Drivers

Hardware



Virtualización

Virtualización:

El sistema operativo presenta a cada usuario solo los recursos

que el usuario debería ver.

El usuario tiene acceso a una máquina virtual (VM), que

contiene esos recursos.

El usuario no puede acceder a los recursos que están

disponibles para el sistema operativo pero existen fuera de la

máquina virtual.

3



Virtualización: conceptos

Hipervisor (o monitor de VM) software que implementa una VM:

Traduce las solicitudes de acceso entre la VM y el sistema

operativo.

Puede soportar múltiples sistemas operativos en distintas máquinas

virtuales simultáneamente.

Honeypot:

máquina virtual destinada a atraer a un atacante a un entorno

que puede ser controlado y monitoreado.



Virtualización: conceptos

Sandbox:

Concepto similar al de virtualización. Entorno desde el cual un proceso solo puede tener un impacto limitado y controlado en recursos externos.

Ejemplo: el diseño original para el lenguaje Java. Utilización de la máquina virtual de Java como monitor de referencia, que media/controla todos los pedidos de acceso sobre recursos.

El entorno de ejecución de Java es un tipo de VM que permite a los applets (que se suponen no confiables) utilizar un subconjunto limitado de recursos del sistema en un ambiente cerrado/controlado/no eludible.



Protección: separación y sharing

Un premisa básica para alcanzar diferentes grados de protección es

la separación. Separar los objetos de un usuario de otros usuarios.

Métodos de separación:

separación física: diferentes procesos utilizan diferentes objetos

físicos distintos. Ejemplo: impresoras separadas para

impresiones que requieren diferentes niveles de seguridad.

separación temporal: los procesos que tienen diferentes

requisitos de seguridad se ejecutan en diferentes momentos de

tiempo.




Métodos de separación:

separación lógica: los usuarios trabajan suponiendo que no

existen otros procesos, como cuando un sistema operativo

restringe los accesos de un programa para que el programa no

pueda acceder a objetos fuera de su dominio permitido.

separación criptográfica: los procesos ocultan sus datos y

cálculos de manera que no sean interpretables por otros

procesos.




También se necesitan compartir objetos entre usuarios

Métodos de apoyo a la separación/sharing:

No proteger. Ejemplo: cuando los procesos se ejecutar en momentos separados.

Aislar. Ejemplo: diferentes procesos que se ejecutan simultáneamente no son conscientes de la presencia de otros.

Compartir todo o no compartir nada. Es decir: público o privado.

Compartir pero limitar el acceso. Implementación: ACLs.

Limitar el uso de un objeto. Ejemplo: ver pero no imprimir.



Protección de memoria por hardware: barrera límite

Limitación por dirección de memoria fija. Los usuarios solo tienen acceso a la memoria por encima de una dirección determinada.

Memory

Operating System

User Program Space

Addresses

0

n

n + 1

High

HardwareAddress

Limitation

AddressingRange

4



Protección de memoria por hardware: registros de barrera

Definición de registros límite para establecer direcciones de inicio dinámicas.

AddressLimit

Register

Memory

Operating

System Version 2

User ProgramSpace

Addresses 0

p

p + 1

High

p + 1

AddressLimit

Register

Memory

Operating

System Version 1

User ProgramSpace

Addresses 0

n

n + 1

High

n + 1

AddressingRange

AddressingRange



Protección de memoria por hw: límite base y superior

Con registros de base y superior, el espacio de memoria se puede dividir en más de dos secciones, lo que permite múltiples usuarios.

Memory

OperatingSystem

User AProgram Space

Addresses 0

n

n + 1

High

Base Register

n + 1

Bounds Register

p

User CProgram Space

User BProgram Space

User ProgramSpace

q

q + 1

p

p + 1



Protección de memoria por hw: pares de registros límite

Separación de memoria ejecutable de memoria de datos para cada usuario. Dificultar que errores o ataques sobrescriban código del programa.

OperatingSystem

Program Base

Program Bounds

User Programand Data

Space

Data Base

Data BoundsUser B

Data Space

User A

Data Space

User C

Data Space

User AProgram Space

User CProgram Space

User BProgram Space



Protección de memoria por hw: tags

Arquitectura etiquetada:

cada palabra de la memoria de la

máquina tiene uno o más bits

adicionales para identificar sus

derechos de acceso.

Los derechos de acceso no se basan

en ubicaciones de memoria

contiguas.

Pero la arquitectura etiquetada no ha

sido ampliamente adoptada.

Tag Memory Word

R 0001

RW 0137

R 0099

X

X

R 4091

RW 0002

X

X

X

X

Code: R = Read-only RW = Read/Write

X = Execute-only



Protección de memoria por hw: segmentación de memoria

Logical Arrangement of

Program

Physical Placement of

Program’s Segments

MAIN

SEG_A

SUB

DATA_SEG

MAIN

SUB

SEG_A

DATA_SEG

Operating

SystemSegments

Segments for

Other Users




Segmentación:

Un programa se divide en partes lógicas separadas. Ejemplos:

una matriz, un procedimiento.

Cada segmento tiene su propio conjunto de permisos de acceso.

El sistema operativo mantiene una tabla de cada segmento y su

dirección de memoria real, luego traduce las llamadas a cada

segmento utilizando dicha tabla.

5




Segmentación:

El sistema operativo puede mover segmentos según sea

necesario, lo que es muy útil a medida que los segmentos

cambian de tamaño.

Los segmentos se pueden eliminar de la memoria si no se están

utilizando en un determinado momento.

Toda referencia de dirección legítima pasa por el sistema

operativo, lo que brinda una oportunidad para controlar cada

acceso acceso.




Segmentación:

Permite el acceso controlado por hardware a diferentes secciones

de memoria en diferentes modos de acceso.

Los segmentos son unidades lógicas y podemos asociar diferentes

segmentos con derechos de protección individuales, como solo

lectura o solo ejecución.

El cambio de segmentos se puede manejar de manera eficiente

durante la traducción de una dirección de memoria.




Logical Program

MAIN

SEG_A

SUB

DATA_SEG

MAIN

SEG_A

SUB

DATA_SEG

a

c

g

h

Segment Translation TableAddress

0

a

b

c

d

e

f

g

h

i

FETCH<DATA_SEG,20>

Location 20 within Segment DATA_SEG

+



Protección de memoria por hw: paginado de memoria

Logical Program

Page 0

Page 1

Page 2

Page 4

Page 3

Page 5

Page 6

Page 7

0

1

2

4

3

5

6

7

b

f

i

c

l

g

n

e

Page Translation Table

Page Address

Page 0

Page 4

Page 7

Page 1

Page 5

Page 2

Page 3

Page 6

MemoryAddress

0

a

b

c

d

e

f

g

h

i

j

k

l

m

n

o

+

Location37, Page 4

FETCH<4,37>




Paginación:

Similar a la segmentación.

Los programas se dividen en fragmentos de tamaño fijo (páginas)

en lugar de ser desglosarlos por unidad lógica.

Debido a que los programas no se dividen en unidades lógicas, la

paginación no permite que diferentes partes de un programa

tengan diferentes derechos de acceso.

Admite las ventajas de seguridad de la segmentación con gestión

de memoria más eficiente.




Paginación:

No hay una unidad necesaria para los elementos en una página.

No hay manera de establecer que todos los valores de una página

deben protegerse al mismo nivel, como solo lectura o solo

ejecución.

6



Protección de memoria por hw: paginado con segmentación

Memory

DATA_SEG Page 1

MAIN Page 0

SEG_A Page 1

MAIN Page 1

SEG_A Page 2

SUB Page 0

DATA_SEG Page 0

SEG_A Page 0

Address0

a

b

c

d

e

f

g

h

i

j

k

l

m

n

o

Segment DATA_SEG Word 20

Logical Program

MAIN

SEG_A

SUB

DATA_SEG

Segment Translation Table

MAIN

SEG_A

SUB

DATA_SEG

SegmentPage Table

0

1

c

f

Page Translation Tables

For Segment MAINPage Address

0

1

2

n

e

g

For Segment SEG_APage Address

0

1

l

b

0 i

For Segment SUBPage Address

Page Address

+

20 = Page 0

FETCH<DATA_SEG,20>

For Segment DATA_SEG



Protección de memoria por hw: paginado con segmentos

Paginación con segmentación:

Los programas se pueden dividir en segmentos, y los segmentos

se combinan para llenar las páginas.

Se agrega una capa adicional de traducción pero permite contar

los beneficios tanto de la paginación como de la segmentación.

Estos mecanismos de hardware brindan una buena protección de

la memoria, además de lograr una asignación eficiente de:

memoria y reubicación de datos.

La seguridad es un efecto secundario.



Principios de diseño seguro para un sistema operativo

Simplicidad de diseño:

Los sistemas operativos son complejos y cualquier complejidad

innecesaria solo hace que sean más difíciles de entender y

proteger.

El diseño basado en la definición de distintas capas permite

habilitar la confianza entre las distintas capas. Las capas aseguran

que un problema de seguridad afecte solo las capas menos

sensibles.



Principios de diseño seguro para un sistema operativo

Confianza basada en la definición de capas:

Es una forma de mantener un diseño lógico, comprensible y

permite limitar el riesgo.

Ejemplo:

controles de acceso muy estrictos en funciones críticas del sistema operativo,

menos controles de acceso en funciones importantes no críticas,

y pocos controles de acceso en funciones que no son importantes para el sistema operativo.



Diseño basado en núcleos (kernels)

Un kernel es la parte del sistema operativo que realiza las

funciones de nivel más bajo:

Sincronización

Comunicación entre procesos

Intercambio de mensajes

Manejo de interrupciones

Un kernel de seguridad es responsable de hacer cumplir los

mecanismos de seguridad de todo el sistema operativo.

Típicamente contenido dentro del kernel.



Kernel de seguridad

La parte más importante de un kernel de seguridad es el monitor de

referencia y permitirá controlar los accesos a los diversos objetos

del sistema.

Operating SystemorTrusted Softwar e Operating SystemorTrusted Softwar eReferenceMonitor

SS

S

OO

OO

7



Kernel de seguridad

Monitor de referencia:

No es una sola pieza de código.

Es una colección de controles de acceso para dispositivos,

archivos, memoria, comunicación entre procesos y otros tipos de

objetos.

Actúa como un muro alrededor del sistema operativo para

controlar los accesos de diversos sujetos (S) a diversos objetos

(O).



Kernel de seguridad

Monitor de referencia:

A prueba de manipulaciones: imposible de deshabilitar o limitar.

No se puede pasar por alto: siempre se invoca cuando se requiere

acceso a cualquier objeto.

Analizable: lo suficientemente pequeño como para ser sometido a

análisis y pruebas de concepto, es decir poder asegurar su

integridad.



Sistemas confiables

Sistema confiable:

Aquel sobre el cual se ha demostrado que se garantiza con un alto

grado de confianza en que realizará ciertas actividades

adecuadamente. Características:

Una política definida: que detalla qué cualidades de seguridad impone.

Medidas y mecanismos adecuados: mediante los cuales puede hacer cumplir adecuadamente los aspectos de seguridad.

Control o evaluación independiente: garantiza que los mecanismos se hayan seleccionado e implementado correctamente.



Especificación de criterios para obtener sistemas confiables

Trusted Computer

System Evaluation

Criteria

Security

Technology

Planning

Study

British,

German,

French

Criteria

Combined

Federal

Criteria

E.C. Information

Technology

Security

Evaluation

Criteria

Common

Criteria

Security Controls

for Computer

Systems

1970 1983 1991 1994

1972 1988 1992

Intentos por declarar que las computadoras son confiables. Cambios en la tecnología han dado lugar a nuevos requisitos y la explosión de nuevos

dispositivos y software ha hecho imposible mantenerse al día.



Base de computación confiable (TCB)

Non-TCB

Primitive I/O

Basic operations

Clocks, timing

Interrupt handling

Hardware: registers, memory

Capabilities

User request interpreter

User process coordination, synchronization

User environment: objects, names (e.g., files)

User I/O

Procedures, user processes

Creation and deletion of user objects

Directories

Extended types

Segmentation, paging, memory management

User applications

Utilities

TCB



Base de computación confiable (TCB)

La parte TCB del sistema operativo es la parte de la que dependemos

para hacer cumplir la política de seguridad.

El TCB supervisa, protege el secreto y la integridad de cuatro

interacciones básicas:

activación del proceso,

conmutación del dominio de ejecución,

protección de memoria

y operación de entrada/salida.

8



Seguridad en entornos virtuales

Un TCB seguro es una condición necesaria para la seguridad en

un entorno virtualizado.

Si el TCB se ve comprometido, la seguridad de todo el sistema se

ve afectada.

El hipervisor controla la ejecución de operaciones privilegiadas e

impone aislamiento de: memoria, de acceso a la red y al disco.

Los hipervisores son menos complejos y mejor estructurados que

los sistemas operativos tradicionales, por lo que están en una

mejor posición para responder a los ataques de seguridad.



Seguridad en entornos virtuales



Otras características del sistema de confianza

Inicio seguro:

El inicio de un sistema es un momento difícil en cuanto a aspectos

relativos a la seguridad. La mayoría de los sistemas cargan

funciones básicas relacionadas con E/S antes de poder cargar las

funciones de seguridad propias del sistema operativo.

Ruta de confianza:

Característica que brinda una conexión que asegura al usuario la

seguridad de estar comunicándose directamente con el sistema

operativo.



Otras características del sistema de confianza

Control de reutilización de objetos:

El sistema operativo borra la memoria antes de reasignarla para

garantizar que los datos restantes no se vean comprometidos.

Auditoría:

Los sistemas confiables rastrean los cambios relevantes para la

seguridad, como la instalación de nuevos programas o la

modificación del sistema operativo. Los registros de auditoría

deben estar protegidos contra manipulación y eliminación.



Tecnología de inicio confiable de Intel (TPM)



Tecnología de inicio confiable de Intel (TPM)

Módulo de plataforma segura. Microcontrolador que almacena claves, contraseñas y certificados digitales.

9



Rootkits

Un rootkit es un paquete de software malintencionado que

obtiene y aprovecha privilegios administrativos dentro del

sistema. O bien se convierte en parte del sistema operativo.

Tratan de evitar ser descubiertos.

Si se los descubre y eliminan parcialmente tienen la capacidad de

restablecerse.

Poseen la capacidad de interceptar o modificar funciones básicas

del sistema operativo.



Rootkits

Will call’s

result reveal

rootkit?

Pass call to

operating system

function

Intercepted

function call

No

Execute call but

monitor result and

adjust as necessary

Yes



Resumen

Recursos que requieren protección del sistema operativo:

memoria, dispositivos de E/S, programas y redes.

Los sistemas operativos utilizan: diseños por capas y basado en

módulos. El objetivo es alcanzar la mayor simplificación posible

y separar funciones críticas de las no críticas

El control de acceso a los recursos se aplica utilizando:

virtualización, segmentación, mecanismos de protección de

memoria con soporte en el hardware y definiendo monitores de

referencia.

Los rootkits son aplicaciones malintencionadas que permiten

alcanzar privilegios administrativos. También se pueden

convertir en parte del mismo sistema operativo.

Documents

SEGURIDAD INFORMÁTICA › ~ldm › mypage › data › si › apuntes › 2019...1 SEGURIDAD INFORMÁTICA UNTDF –IDEI | Profesor Lic. Leonardo de -Matteis| 2019/1c Sistemas operativos